Защита периметра обычно начинается с установки файрволла или, другими словами, межсетевого экрана. В настоящее время эта технология объединяет в себе разнообразный функционал.
Помимо основной функции сегментирования сети решение включает в себя контроль приложений, потоковый антивирус, защиту от DDoS атак, антиспам и антифишинг, IDS (intrusion detection system) и IPS (intrusion prevention system), прокси-сервер, VPN и др. функционал, и поэтому называется NGFW – next generation firewall.
При этом многие заказчики ограничиваются установкой NGFW и антивируса на рабочие станции и считают задачу защиты периметра закрытой. Однако, в настоящее время около 60% атак являются целевыми и не регистрируются сигнатурными методами защиты. Таким образом файрволл и антивирус перестают быть таким же эффективным средством защиты как ранее и требуют дополнения средствами анализа уязвимостей, анализа трафика и борьбы с целевыми атаками, такими как решения NTA (network traffic analysis), VM (vulnerability management) или песочницей.
АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются “красные” и “синие” команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):
- Настройки “по-умолчанию” для ПО (пароли, конфигурации и права для сервисов, незащищенные протоколы и т.п.).
- Неэффективное разделение пользовательских и административных прав (ненужные административные права, использование сервисных учеток).
- Неэффективный (или отсутствующий) внутренний мониторинг сети.
- Нехватка сетевой сегментации.
- Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО).
- Обход системного контроля доступа (pass-the-hash, Kerberoasting, например).
- Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.).
- Неэффективные списки контроля доступа на сетевых ресурсах и сервисах.
- Слабая гигиена учетных записей (легко угадываемые логины, пароли и пароли в открытом виде).
- Неограниченное исполнение кода.
Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.
Отдельной проблемой, специфичной для российского рынка является уход западных производителей, на решениях которых у большого количества заказчиков были построены системы периметровой защиты. Отсутствие обновлений, поддержки – ослабляют защиту. Переход на отечественные решения требует новых инвестиций, стыка двух разных систем – новой и старой, переучивания сотрудников. Все это создаёт дополнительные трудности и часто является фактором отсрочки принятия принципиальных решений.
При этом следует помнить, что в среднем злоумышленник находится в сети до начала своей активности 200 дней (по результатам анализа Лаборатории Касперского). И если он закрепится сейчас, когда Вам кажется, что никто вас не атакует, то, когда вы наконец-то обновите средства защиты – он будет уже глубоко внутри, будет в ваших бэкапах, и когда он начнёт действовать – выловить и остановить его будет гораздо сложнее. Шторм запускается в миллисекунды. А реакция человека составляет минуты и часы. Ручной режим просто уже не работает.
Как же эксперты компании ВИЗАРД предлагают решать данную проблему:
- Проведите аудит имеющихся политик, систем, инфраструктуры. Определите список недопустимых событий, модель поведения злоумышленника, план действий специфичный для вашей компании. Это позволит выделить наиболее вероятные вектора атак и закрыть их в первую очередь.
- Проведите сканирование уязвимостей или установите средства VM и пропишите регламент их использования и реакции на результаты. Такой подход часто может случить управляемым триггером срабатывания вредоносных активностей. Но мы же с вами 😊.
- Не откладывайте обновления системы. Например, решения Positive Technologies помогают не просто увидеть все возможные обновления, а распределить их иерархически с учетом критичности с точки зрения ИБ. Это позволит оперативно закрыть самые опасные направления.
- Внимательно читайте аналитику восходящих трендов атак в вашей отрасли. По статистике, при появлении информации о новой уязвимости боты начинают сканировать сети в течении 15 минут после публикации, ведущие вендоры выпускают рекомендации по защите в течение 12 часов, пользователи обновляют средства защиты месяцами… Все это время уязвимость открыта для эксплуатации.
- Дополняйте NGFW и антивирус средствами анализа трафика и борьбы с целевыми атаками.
- Доведите эти требования до ваших поставщиков или контрагентов, ведь огромное количество атак сейчас реализуется через цепочки поставки.
- Отдельно рассмотрите процесс анализа кода используемого вами программного обеспечения, особенно, если вы используете опенсорсное ПО, заказную разработку или пишете сами. Скачивая коды из репозиториев, часто вместе с ними качают и потенциальные угрозы. Возможно, стоит рассмотреть элементы SAST/DAST анализа при работе с ПО.
«Защитить ИТ-систему на 100% – невозможно. Новые уязвимости появляются каждый день. Но использование этих простых шагов повысит защищенность вашей организации и усложнит задачу для злоумышленника. Ведь, «не можешь устранить хакера – удлини его путь к цели».
Мы с радостью поможем скорректировать и реализовать стратегию защиты вашей компании. Для этого достаточно всего лишь оставить заявку.